Transcript NEC - 早稲田大学
NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法 山田 建史 早稲田大学 基幹理工学研究科 情報理工学専攻 後藤滋樹研究室 修士1年 1 NEC-早大技術交流会 2011/12/26 Agenda 1. 研究の背景 2. 研究の目的 3. 既存手法 4. 提案手法 5. 実証実験 6. 実験結果 7.まとめと今後の課題 2 NEC-早大技術交流会 2011/12/26 研究の背景 情報量増大に伴い悪意のある通信の問題が顕在化 国際的なサイバー攻撃が頻発 ボットネットの活動の調査が追いつかない 通信の選別 広域的な調査を行い、多様化した攻撃の実態を掴む 効率的に攻撃手法の情報収集が必要 IT利用の利便性と情報セキュリティ対策との両立 3 NEC-早大技術交流会 2011/12/26 研究の目的1 既存の悪意のある通信の観測や防御に必要な機器 侵入検知システム(IDS) 侵入防御システム(IPS) ファイアウォール 観測を行う範囲を広げると ・設備投資によるコスト増大 ・機器の運用や設定にかかる人的なコスト ネットワーク機器での制御 観測機器の設置・維持によるコストを抑えられる 広域な通信を効率良く制御できる 4 NEC-早大技術交流会 2011/12/26 関連研究:ポリシールーティングを用いた ネットワークハニーポットの構築 白畑真, 南政樹,村井純(情報処理学会研究報告(DSM-038), pp.55-58, 2005) ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptablesとiproute2を組み合わせる ポート番号による ポリシールーティング ルータ ホスト Internet ルータ ・エントリ数が大きくなるとルータに負荷がかかる → ポート番号でのみの制御 ・制御内容の適用はルータ自身にのみ →効率が悪く、スケールアウトしない 5 NEC-早大技術交流会 ハニーポット 2011/12/26 研究の目的2 広域な通信を一元管理できるネットワーク管理システムが必要 OpenFlowスイッチング技術 スイッチの機能を転送部と制御部に独立 制御部による転送部への一元管理 広域通信を効率良く制御し、悪意のある通信を集約する 柔軟かつ集約的な制御 悪意のある通信の選別 安定した通信の集約 6 NEC-早大技術交流会 2011/12/26 提案手法 OpenFlowスイッチによる 広域通信の効率的集約法 7 NEC-早大技術交流会 2011/12/26 提案手法:悪意のある通信の集約 広範囲の通信をOpenFlowスイッチにより選別、誘導 選別した通信をハニーポットに集約 dshield.org が 公開している ブラックリスト ※ O/F:OpenFlow ポート番号 送信元IPアドレス O/F Controller O/Fスイッチ1 ホスト Internet O/Fスイッチn 機能の独立 スケールアウト可能 Controller制御 柔軟かつ動的なポリシー 柔軟かつ安定したセキュアなシステム 8 NEC-早大技術交流会 ハニーポット 2011/12/26 実証実験:概要 攻撃通信をhping3、正常な通信をiperfで再現 hping3: pingライクなパケット生成ツール iperf:トラヒック発生ツール ファイルダウンロード、スループットの測定 比較実験項目 ポートスキャン、スパムによる攻撃(送信元IPアドレスの偽造) 収集率の比較 スループットの比較 (平均スループット、分散) 実験環境 仮想サーバ上に仮想ネットワークを構築 9 NEC-早大技術交流会 2011/12/26 悪意のある通信の再現 hping3 icmp プロトコルで動作するping ライクなコマンド 多種様々なパケットの生成が可能 ポートスキャンとIPスプーフィングを利用 ※IPスプーフィング:送信元IPアドレスの偽造 iperf 擬似トラフィック生成ツール ファイルダウンロードやスループットの測定 サーバ/クライアント方式で動作 1Mbyteのファイルダウンロードを利用 測定はしばらく時間を置いて、通信が安定してから行う 10 NEC-早大技術交流会 2011/12/26 実証実験:基本構成と詳細 ※ O/F:OpenFlow サーバ‐ホスト間に2つのトラフィックによる通信を観測 収集率 :攻撃通信がハニーポットに流れた割合 スループット:サーバ‐ホスト間を測定 O/F Controller ホスト O/Fスイッチ1 サーバ O/Fスイッチ2 正常な通信:iperf 攻撃通信 :hping3 11 NEC-早大技術交流会 ハニーポット 2011/12/26 実験環境:既存手法 ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptablesとiproute2を組み合わせる ポート番号による ポリシールーティング ポリシルータ ホスト サーバ ポリシルータ ハニーポット 12 NEC-早大技術交流会 2011/12/26 ポリシールーティングの構成図 iproute2とiptablesを組み合わせることで ポリシーを設定し、転送を行う ホスト サーバ 13 NEC-早大技術交流会 2011/12/26 ※ O/F:OpenFlow 実験環境:提案手法 ポリシーやコントローラの制御により悪意のある通信を選別 送信元IPアドレス ポートポリシー O/F Controller 更新 ホスト Internet O/Fスイッチ1 サーバ O/Fスイッチ2 ハニーポット 14 NEC-早大技術交流会 2011/12/26 使用したポリシー ポート番号 nepenthesが対応、検知するポート番号 18種類 警察庁セキュリティポータルサイト@police 上位20件 参考:インターネット治安情勢 2010年7~9月 合計 27種類 ブラックリスト Dshield.org が提供 ホストのIPアドレス群 スキャンや不正アクセス 上位100件を使用 15 NEC-早大技術交流会 2011/12/26 実験結果1:収集率 35 悪意のある全トラフィックから、集約した通信の割合 30 25 20 収集率 (%) 15 10 5 0 既存手法 ポート番号のみ 16 提案手法 ポート番号+IPブラックリスト NEC-早大技術交流会 2011/12/26 実験結果2:平均スループット 平均スループット (Mbps) 既存手法 提案手法 分散 13.95 0.56 12.71 0.35 スループットの ばらつきが少ない 17 NEC-早大技術交流会 2011/12/26 まとめ 安定した広域通信での通信集約システム OpenFlowによる通信選別手法 集約率に大きな改善 安定したスループット 提案手法に優位性、実用性 18 NEC-早大技術交流会 2011/12/26 今後の課題 1. より精度の高いポリシーを検討 2. 比較対象の検討 - vyattaなどの仮想ルータとの比較 今回はopenvswitchを使用 - OpenFlowスイッチとの比較 より動的で柔軟なポリシーの設定 ポリシルータではなく、既存のOpenFlowスイッチで 複数種類の手法を検討 3. 実機での検証 19 今回は仮想環境での実験 NEC-早大技術交流会 2011/12/26 ご清聴ありがとうございました 20 NEC-早大技術交流会 2011/12/26 補足資料 21 NEC-早大技術交流会 2011/12/26 OpenFlow フロー単位で処理を行うオープンソースのスイッチ スイッチの機能をスイッチ部とコントローラ部に分割 特別な設定がない場合は通常のL2スイッチ コントローラでの制御一括管理 より柔軟な対応が可能(動的なパラメータの変更) OpenFlow スイッチ Rule 22 CSS2011 Controller Action Stats 2011/10/20 OpenFlowの制御とその特徴 スイッチとコントローラによる機能分離 SW(コントローラ)で処理方法を決定 HW(スイッチ)で通信の処理 一つのコントローラで複数のOpenFlowスイッチを 制御することが可能 各種ヘッダ情報の書き換え Rule Action Stats ポート番号、IPアドレス、MACアドレスなど レイヤ4以下のヘッダ情報は書き換えが可能 任意のヘッダを挿入することも可能 高速で柔軟なネットワーク環境が実現可能 23 CSS2011 2011/10/20 フローの定義 レイヤ4以下の情報の組み合わせで定義 受信したスイッチの物理ポート 宛先MACアドレス、送信元MACアドレス Etherタイプ 通信をフローとして扱う VLANタグID VLANプライオリティ 宛先IPアドレス、送信元IPアドレス プロトコル番号 きめ細かい通信制御や ToS (Type of Service) 柔軟な設計や構築が可能 宛先ポート番号、送信元ポート番号 ※ OpenFlow v1.2からIPv6も対応 24 CSS2011 2011/10/20 フローの定義とフローテーブルの構成 フローの定義 25 CSS2011 2011/10/20 OpenFlowの動作 OpenFlow controller OpenFlow switch SW HW 5. 以降同じパケットは 同様に転送される 26 3. 処理を決定 Secure channel Flow table Rule Action Stats 4. 処理をフローテーブルに登録し パケットの処理を行う 1. 最初のパケットを送信 2. フローテーブル未登録より コントローラへパケットを転送 CSS2011 2011/10/20 ポート番号の選定 Nepenthesが検知するポート番号が基準 21/TCP, 23/TCP, 25/TCP, 42/TCP, 80/TCP, 110/TCP, 135/TCP, 139/TCP, 143/TCP, 443/TCP, 445/TCP, 465/TCP, 993/TCP, 995/TCP, 1023/TCP, 1025/TCP, 1433/TCP, 2103/TCP, 2105/TCP, 2107/TCP, 3372/TCP, 3389/TCP, 5000/TCP, 6129/TCP, 9415/TCP, 10000/TCP 27 CSS2011 2011/10/20 関連研究:ポリシールーティングを用いた ネットワークハニーポットの構築 白畑真, 南政樹,村井純(慶応義塾大学, 情報処理学会研究報告, p.p,55-58 2005) ルータにポリシーを与え攻撃種類に応じて適切なハニーポットに分別 特定のポート番号を元にルーティング 複数種類のハニーポットを活用 ハニーポット(複数種類) Darknet 使用していない IPアドレス空間 Interne t ポリシルータ 複数種類のハニーポットの特性を 活かすことが可能 ポート番号による ポリシールーティング 28 CSS2011 2011/10/20 ポート番号によるポリシールーティング 指定したポート番号は ハニーポットへ転送 →スイッチ側で制御 ※ O/F:OpenFlow Controller ルール ! アクション ステート O/Fスイッチ1 ホスト群 サーバ O/Fスイッチn ハニーポット 29 CSS2011 2011/10/20 動作例(ハニーポットへ誘導) スイッチ部のポリシーとコントローラ制御により悪意のある通信を選別 rule action stats Controller ? O/Fスイッチ1 Internet ホスト IPアドレス,MACアドレス 書き換え 1. O/Fスイッチにパケットが到着 2. フローテーブルにないので controllerに転送し、問い合わせ 3. 以降ハニーポットへ転送、誘導 ! O/Fスイッチ2 4. 通信によっては代理で応答を返す 30 ※ O/F:OpenFlow CSS2011 ハニーポット 2011/10/20 ハニーポット マルウェア収集のため脆弱性の存在するホストを エミュレートするサーバーやネットワーク機器 ローインタラクションハニーポット 脆弱性があるOS やアプリケーションの反応をエミュレートすることで マルウェア収集 代表例:nepenthes ←本研究で使用 ハイインタラクションハニーポット 脆弱性がある本物のOS やアプリケーションを用いて構築 31 CSS2011 2011/10/20 ※ O/F:OpenFlow 現在の取り組み コントローラの制御に機械学習を導入 より柔軟で精密に悪意のある通信を選別 送信元IPアドレス ポートポリシー 学習&判定モジュール Controller ホスト Internet O/Fスイッチ ハニーポット 32 CSS2011 2011/10/20 ※ O/F:OpenFlow 現在の取り組み:将来像 コントローラの機械学習による制御とIDSの連携 通知⇨学習⇨フィードバックによる循環システム 学習&判定モジュール Controller 通知 IDS フィードバック ホスト Internet O/Fスイッチ ハニーポット 33 CSS2011 2011/10/20